FreeBSd > Система
ipfw, nat -- как заставить работать ping
muff:
--- Цитата: solaris от Апреля 22, 2011, 04:06:26 pm ---Ясно. Но если разрешить любой ICMP, а не только echo (убрать из правила "icmptypes 8"), работать не будет.
--- Конец цитаты ---
Конечно. Если разрешить, например, еще и эхо-ответ (icmptypes 0), то пинг из локальной сети уже не будет работать, поскольку ответ от удаленного ресурса будет сразу обрабатываться сервером напрямую, не попадая в НАТ.
--- Цитата: solaris от Апреля 22, 2011, 04:06:26 pm ---И последний вопрос в этой теме. Учитывая твой большой опыт с одной стороны и то, что ты вник в этот набор правил с другой, как тебе вообще мой набор правил?
--- Конец цитаты ---
Есть замечания, но не знаю, насколько они обьективны. Обычно я правила строю по другой схеме.
Обрати внимание на то, что под правило "deny log logamount 20 ip from any to any" не попадает ни один пакет, что заставляет задуматься...
solaris:
--- Цитата: solaris от Апреля 22, 2011, 04:06:26 pm ---И последний вопрос в этой теме. Учитывая твой большой опыт с одной стороны и то, что ты вник в этот набор правил с другой, как тебе вообще мой набор правил?
--- Конец цитаты ---
--- Цитата: muff от Апреля 23, 2011, 02:18:44 pm ---Есть замечания, но не знаю, насколько они обьективны. Обычно я правила строю по другой схеме.
Обрати внимание на то, что под правило "deny log logamount 20 ip from any to any" не попадает ни один пакет, что заставляет задуматься...
--- Конец цитаты ---
Ну да, но мне что-то в голову не приходит, как можно по-другому сделать.
Может, ты кинешь сюда свои правила, дабы я помедитировал над ними?
Навигация
Перейти к полной версии